For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00397
Identificador(es)
ASA-2019-00397, CVE-2019-7896, PRODSECBUG-2298
Título
Execução de código arbitrário através de importações de produtos e atualização de layout de design
Fabricante(s)
Magento, Inc
Produto(s)
Magento
Versão(ões) afetada(s)
Magento versões 2.1.x anteriores a 2.1.18
Magento versões 2.2.x anteriores a 2.2.9
Magento versões 2.3.x anteriores a 2.3.2
Versão(ões) corrigida(s)
Magento versão 2.1.18
Magento versão 2.2.9
Magento versão 2.3.2
Prova de conceito
Desconhecido
Descrição
Um usuário autenticado com privilégios de administrador pode executar código arbitrário por meio da combinação de importação de produto por meio do arquivo csv criado e da atualização de layout XML.
Detalhes técnicos
Desconhecido
Créditos
Edgar Boda-Majer
Referência(s)
PRODSECBUG-2296: Arbitrary code execution through design layout update – CVE-2019-7895
https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-13
CVE-2019-7896
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-7896
CVE-2019-7896
https://nvd.nist.gov/vuln/detail/CVE-2019-7896
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 29 junho 2019